メッセージの暗号化についてよく寄せられる質問

Microsoft Purview Message Encryption では、電子メールの暗号化と権限管理機能が組み合わされています。 著作権管理機能は Azure Information Protection を利用しています。

Microsoft Purview メッセージ暗号化は、次の条件で使用できます。

• Office 365 Message Encryption (OME) または Information Rights Management (IRM) for Exchange を設定していない場合。

• OME と IRM を設定する場合は、Azure Information Protection の Azure Rights Management サービスも使用している場合は、次の手順を使用できます。

• Active Directory Rights Management サービス (AD RMS) で Exchange を使用している場合、これらの新機能をすぐに有効にすることはできません。 代わりに、AD RMS から Azure Information Protection に移行する必要があります。 移行を完了すると、Microsoft Purview Message Encryption を正常に設定できます。

  Azure Information Protection に移行するのではなく、Exchange でオンプレミスの AD RMS を引き続き使用する場合は、Microsoft Purview Message Encryption を使用できません。

Microsoft Purview Message Encryption を使用するには、次のいずれかのプランが必要です。

• Microsoft Purview Message Encryption は、Office 365 Enterprise E3 と E5、Microsoft 365 Enterprise E3 と E5、Microsoft 365 Business Premium、Office 365 A1、A3、A5、Office 365 Government G3 と G5 の一部として提供されます。 Azure Information Protection を利用する新しい保護機能を受け取るために、追加のライセンスは必要ありません。

• Azure Information Protection プラン 1 を次のプランに追加して、Microsoft Purview メッセージ暗号化を受け取ることもできます。Exchange プラン 1、Exchange プラン 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 Business Standard、または Office 365 Enterprise E1 を受け取ることができます。

• Microsoft Purview Message Encryption の恩恵を受ける各ユーザーには、メッセージ暗号化を使用するためのライセンスが必要です。

• 完全な一覧については、Microsoft Purview Message Encryption の Exchange サービスの説明 を参照してください。

はい。 Microsoft では、Microsoft Purview メッセージ暗号化を設定する前に、BYOK を設定する手順を完了することをお勧めします。

BYOK の詳細については、「Azure Information Protection テナント キーを計画して実装する」を参照してください。

いいえ。 Microsoft Purview Message Encryption と、Azure Information Protection から BYOK と呼ばれる独自の暗号化キーを提供および制御するオプションは、法執行機関の召喚状に対応するように設計されていませんでした。 OME と Azure Information Protection の BYOK は、規制遵守を重視する組織向けに設計されています。 Microsoft は、顧客データの要求を真剣に受け取ります。 クラウド サービス プロバイダーとして、お客様のデータのプライバシーを常にサポートします。 召喚状が発生した場合は、常に要求を直接ユーザーにリダイレクトして情報を取得しようとします。 (Brad Smith のブログ「政府機関による監視から顧客データを保護する」を参照してください)。 Microsoft は、受け取った要求の詳細情報を定期的に公開しています。 Microsoft 以外のデータ要求の詳細については、「Microsoft セキュリティ センターで 顧客データにアクセスするための政府および法執行機関の要求への対応 」を参照してください。 オンライン サービスの使用条件 (OST) で「顧客データの開示」も参照してください。

Microsoft Purview Message Encryption は、既存の IRM とレガシ OME ソリューションの進化です。 以下の表に詳細を示します。

従来の OME、IRM、および Microsoft Purview メッセージ暗号化の比較

「 Microsoft Purview メッセージ暗号化を設定する」を参照してください。

Office 365 Message Encryption (OME) は、2023 年 7 月 1 日に非推奨となりました。 Microsoft Purview メッセージ暗号化に自動的に置き換えられます。 アクティブな送信者メールボックスがある場合でも、OME からのメールを表示できます。

いいえ。 Active Directory Rights Management サービス (AD RMS) で Exchange Online を使用している場合、これらの新機能をすぐに有効にすることはできません。 代わりに、AD RMS から Azure Information Protection に移行する必要があります。

オンプレミス ユーザーは、Exchange Online のメール フロー ルールを使用して暗号化されたメールを送信できます。 Exchange 経由でメールをルーティングする必要があります。 詳細については、「パート 2: 電子メール サーバーから Microsoft 365 にメールが流れるように構成する」を参照してください。

保護されたメッセージは、Outlook 2016、Outlook 2013 for Windows、Outlook 2013 for Mac、および Outlook on the web から作成できます。 暗号化されたメッセージを送信することの詳細については、「PC 版 Outlook での暗号化されたメッセージの送信、表示、および返信」を参照してください。

Microsoft 365 ユーザーは、Outlook for Windows と Outlook for Mac (2013 と 2016)、Outlook on the web、および Outlook モバイル (Android と iOS) から閲覧して返信できます。 組織で許可されている場合は、iOS のネイティブ メール クライアントも使用できます。 Microsoft 365 ユーザーでない場合は、Web ブラウザーを使用して、Web 上の暗号化されたメッセージを読み取って返信できます。

Microsoft 365 ユーザーは、PC 版 Outlook バージョン 2019 および Microsoft 365 を使用して、暗号化のみのポリシーで保護されたメールを作成できます。 暗号化専用ポリシーが適用されているメッセージは、Outlook on the web、Outlook for iOS および Android、Outlook for PC バージョン 2019 および Microsoft 365 で直接読み取ることができます。

はい。 添付ファイルを含め、Microsoft Purview Message Encryption で送信できる最大メッセージ サイズは 25 MB です。 詳細については、「メッセージの制限」を参照してください。

はい。 Exchange ハイブリッド展開などの コネクタ が構成されている場合、 BCC 行に受信者を含めると、メールが暗号化される前に BCC 受信者が削除されます。 ベスト プラクティスは、Exchange Online に移動するか、[ 宛先: ] または [CC ] フィールドにすべての受信者を配置することです。

暗号化されたメッセージ ポータルでは、メールのみがサポートされます。 ポータルでは、予定表やボイス メールなどの他のメッセージの種類はサポートされていません。

保護されたメールには、あらゆる種類のファイルを添付できます。 保護ポリシーは、「 サポートされているファイルの種類」で説明されているファイル形式のサブセットにのみ適用されます。 Microsoft Purview Message Encryption では、次の Office ファイル拡張子のみがサポートされています。

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview Message Encryption では、Word (.doc)、Excel (.xls)、PowerPoint (.ppt) の 97-2003 バージョンの Office プログラムはサポートされていません。

保護は、メールから暗号化されていない添付ファイルにのみ継承されます。 Word、Excel、PowerPoint ファイルなどのファイル形式がサポートされている場合、受信者が添付ファイルをダウンロードした後でも、ファイルは常に保護されます。 たとえば、添付ファイルが転送不可によって保護されているとします。 元の受信者がファイルをダウンロードし、新しい受信者にメッセージを作成し、ファイルを添付します。 新しい受信者がファイルを受信すると、ファイルを開くできなくなります。

簡単に答えるなら、"はい" です。 Exchange Online で有効になっている場合、PDF 暗号化を使用すると、メールに添付された機密性の高い PDF ドキュメントを保護できます。 メールを送信すると、Office 365 サービスは Outlook on the web、Outlook for Mac、Outlook for iOS、および Outlook for Android の PDF ファイルの添付ファイルを暗号化します。 送信する PDF は、これ以上の手順なしで暗号化できます。

Outlook 64 ビットでは PDF ファイルの添付ファイルの暗号化がネイティブにサポートされますが、Outlook 32 ビットではサポートされません。 Outlook 32 ビットを使用する場合は、最初に EXCHANGE メール フロー ルールまたは DLP ポリシーを設定して、PDF 添付ファイルに暗号化を適用する必要があります。 暗号化 されていない メールを PDF 添付ファイルと共に Outlook Desktop から送信すると、クライアントは最初に添付ファイルを含むメッセージをサービスに送信します。 サービスが暗号化されていないメールを受信すると、サービスは Exchange Online のデータ損失防止 (DLP) ポリシーまたはメール フロー ルールを通じて Microsoft Purview メッセージ暗号化保護を適用します。 次に、Exchange Online によってメッセージと PDF ファイルの添付ファイルが暗号化されます。

PDF の添付ファイルの暗号化を有効にするには、Exchange Online PowerShell で次のコマンドを実行します。

Set-IRMConfiguration -EnablePdfEncryption $true

PDF の暗号化により、セキュリティで保護された通信またはセキュリティで保護されたコラボレーションによって機密性の高い PDF ドキュメントを保護できます。 すべての Outlook クライアントの場合、メッセージと保護されていない PDF 添付ファイルは、Exchange Online のデータ損失防止 (DLP) ポリシーまたはメール フロー ルールの Microsoft Purview Message Encryption 保護を継承します。 また、Outlook on the web のユーザーが保護されていない PDF ドキュメントを添付し、メッセージに保護を適用した場合、メッセージはメッセージの保護を継承します。 ユーザーは、保護された PDF (暗号化されたメッセージ ポータルや Azure Information Protection ビューアーなど) をサポートするアプリケーションでのみ暗号化された添付ファイルを開くことができます。

Not yet. SharePoint または OneDrive の添付ファイルはサポートされていません。 メール メッセージは暗号化できますが、クラウドの添付ファイルは暗号化できません。

保護されたメールで添付ファイルが保護されている場合は、Outlook クライアントを使用してドキュメントを直接プレビューできます。 Outlook では、Office ドキュメント (docx、xlsx、pptx、doc、xls、ppt) のプレビューがサポートされています。 Outlook on the web では、Office ドキュメント (docx、xlsx、pptx) と PDF のプレビューがサポートされています。

Outlook on the web では、保護されたメールの失効がサポートされています。 詳細については、「送信した暗号化されたメッセージを取り消す方法」を参照してください。

暗号化されたメッセージ ポータルでは、暗号化されたメールに追加された暗号化された添付ファイルのコピーのプレビューがサポートされます。 サポート ファイルの種類には、Word、Excel、PowerPoint、PDF ファイルが含まれます。

はい。 Exchange Online でメール フロー ルールを使用して、特定の条件に基づいてメッセージを自動的に暗号化します。 たとえば、受信者 ID、受信者ドメイン、またはメッセージの本文や件名の内容に基づくポリシーを作成できます。 「Office 365 でメール メッセージを暗号化するためにメール フロー ルールを定義する」を参照してください。

管理者は、メール フロー ルールを設定して送信メールの暗号化を削除できます。 Exchange Online 組織から送信された受信メールの暗号化を削除するルールのみを設定できます。

Exchange Online メールボックスの場合、管理者はジャーナルの暗号化解除を有効にし、Exchange Online ジャーナリング ルールを設定して、メールの暗号化解除されたコピーをジャーナリング メールボックスに生成する必要があります。 ジャーナリング ルールは、暗号化されたメールまたは添付ファイルを受け取り、元のメールと暗号化解除されたコピーをジャーナリング メールボックスに送信します。 メールまたは添付ファイルを暗号化解除できるジャーナリング ルールは、暗号化されたアイテムが組織から発信された場合にのみ設定できます。
Exchange Online ジャーナリングを有効にするには:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

はい。 Exchange Online または Microsoft Purview コンプライアンス ポータルで DLP を使用して、メール フロー ルールを設定できます。

はい(組織内の Exchange Online メールボックスから送信されたメールの場合) 電子メール メッセージと暗号化されたメッセージ ポータルのカスタマイズについては、「 暗号化されたメッセージに組織のブランドを追加する」を参照してください。

暗号化されたメッセージ ポータル アクティビティ ログは、暗号化されたメッセージ ポータルにアクセスすることで、外部受信者のイベントのみをキャプチャします。 外部受信者によってトリガーされた電子メール クライアント内のアクティビティは記録されません。 内部受信者については、「Purview Audit (Premium) -メール アイテムアクセスログ」の「MailItemsAccessed メールボックス監査アクション」を参照してください。

Microsoft Purview コンプライアンス ポータルに暗号化レポートがあります。 「Microsoft Purview コンプライアンス ポータルで電子メール セキュリティ レポートを表示する」を参照してください。

はい。Microsoft Purview Message Encryption によって保護されているほとんどのメッセージは検出可能です。 メール フロー ルールを通じてカスタム ブランドが適用されている別の Microsoft 365 組織から受信する Microsoft Purview Message Encryption で保護されたメールは、電子情報開示サービスによって検出できません。 つまり、メールにユーザーのメールボックスからアクセスできないのではなく、暗号化されたメッセージ ポータルへのリンクを介してのみ表示される場合、メールは検索できません。 詳細については、「暗号化されたアイテムをサポートする電子情報開示アクティビティ」を参照してください。

メール メッセージが暗号化メール フロー ルールと一致すると、Exchange によって送信されるメッセージが暗号化されます。

はい。 共有メールボックスの暗号化されたメッセージを開くことができます。 メールが同じ組織から送信されると、サポートされている Outlook クライアントにサインインしているときにメールを開くことができます。 メールが外部組織から送信される場合は、Outlook on the web を使用する必要があります。

• ユーザーは、共有メールボックスが配布グループの一部として保護されたメールを受信した場合、共有メールボックスの保護されたメールを開くことができます。

• ユーザーは、Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS、Outlook on the web を使用するときに、メールから保護を継承する添付ファイルを表示できます。

次の表に、共有メールボックスがサポートされるクライアントの一覧を示します。

現在、2 つの既知の制限があります。

• モバイル デバイスで受信するメールの添付ファイルを Outlook モバイルを使用して開くことはできません。

• ユーザーが Outlook 32 ビットで暗号化されたメールを直接表示できるようにするには、次の 2 つの方法があります。

  1. フル アクセス許可と自動マッピングが有効になっている共有メールボックスにユーザーを直接割り当てます。 Outlook 64 ビットの場合、ユーザーをメールボックスに直接割り当てる必要はありません。 Exchange では、自動マッピングが既定で有効になっています。
  2. メールが有効なセキュリティ グループを共有メールボックスに割り当てます。 この方法では、Outlook バージョン 2402 が必要であり、2024 年 6 月以降に生成されたメールのみがサポートされます。

共有メールボックスにユーザーを割り当てるには

1. Exchange Online PowerShell に接続します。

2. パラメーターを指定して Add-MailboxPermission コマンドレットを Automapping 実行します。 この例では、Ayla にサポート メールボックスへのフル アクセス許可を付与します。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

メールが有効なセキュリティ グループを共有メールボックスに割り当てるには

この方法を使用するには、[ 転送不可 ] または [暗号化のみ] 保護オプションを使用 してメールを暗号化する 必要があります。 共有メールボックスによって開始されたメールまたは組織内で送信されたメールのみを開くことができます。

1. Exchange Online PowerShell に接続します。

2. コマンドレットを Add-MailboxPermission 実行してセキュリティ グループを割り当てます。 次の例では、Contoso フロント デスク セキュリティ グループにサポート メールボックスへのフル アクセス許可を付与します。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

代理人にユーザーのメールボックスへのフル アクセス許可が付与されている場合、暗号化されたメールの委任されたアクセスは、Outlook on the web、Outlook for Mac、Outlook for iOS、および Outlook for Android でサポートされます。 Outlook for Windows では、委任されたアクセスはサポートされていません。

暗号化されたメッセージ ポータルにサインインして、送信者の組織がアクティブで、メールの有効期限が切れるように構成されていない限り、メールを取得できます。

まずは、メール クライアントの迷惑メール フォルダーまたはスパム フォルダーを確認します。 組織の DKIM と DMARC の設定により、これらのメールがスパムとしてフィルター処理される可能性があります。

次に、コンプライアンス ポータルで検疫を確認します。 多くの場合、ワンタイム パス コードを含むメッセージは検疫されます。組織が初めて受信するメッセージの場合は特にそうです。